Mordida de seguridad: malware que su Mac puede detectar y eliminar

9to5Mac Security Bite presentado exclusivamente por Mosyle, la única plataforma unificada de Apple. Hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa es todo lo que hacemos. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad específicas de Apple líderes en la industria para un refuerzo y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y gestión de privilegios patentados con el MDM de Apple más potente y moderno del mercado. El resultado es una plataforma unificada de Apple totalmente automatizada, utilizada actualmente por más de 45.000 organizaciones para preparar millones de dispositivos Apple para funcionar sin esfuerzo y de forma asequible. Solicita tu PRUEBA EXTENDIDA hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.

Actualizado el 28 de noviembre de 2025

¿Alguna vez te has preguntado qué malware de macOS puede detectar y eliminar sin la ayuda de software de terceros? Apple agrega continuamente nuevas reglas de detección de malware al paquete XProtect integrado de Mac. Aunque la mayoría de los nombres de reglas (firmas) están confusos, con un poco de ingeniería inversa, los investigadores de seguridad pueden asignarlos a sus nombres industriales comunes.

En esta edición actualizada de Security Bite para el Día de Acción de Gracias, reviso una historia en la que comencé a trabajar en mayo de 2024. Dado que Apple agrega continuamente nuevos módulos a su suite XProtect para combatir las últimas tendencias de malware, espero que esta columna continúe actualizándose con el tiempo. Estos son los programas maliciosos que tu Mac puede detectar y eliminar por sí solo:

XProtect, Yara manda, ¿verdad?

XProtect se introdujo en 2009 como parte de macOS X 10.6 Snow Leopard. Inicialmente, se lanzó para detectar y alertar a los usuarios si se descubría malware en un archivo de instalación. Sin embargo, XProtect ha evolucionado considerablemente últimamente. El retiro de la herramienta de eliminación de malware (MRT) de larga duración en abril de 2022 condujo a la aparición de XProtectRemediator (XPR), un componente antimalware nativo más capaz responsable de detectar y remediar amenazas en Mac.

La suite XProtect utiliza la detección basada en firmas de Yara para identificar malware. Niños En sí mismo es una herramienta de código abierto ampliamente adoptada que identifica archivos (incluido el malware) en función de características y patrones específicos en el código o metadatos. Lo mejor de las reglas de Yara es que cualquier organización o individuo puede crear y utilizar las suyas propias, incluida Apple.

Desde macOS 15 Sequoia, la suite XProtect consta de tres componentes principales:

1. EL Aplicación XProtect puede detectar malware utilizando las reglas de Yara cada vez que se inicia una aplicación, cambia o actualiza sus firmas por primera vez.
2. XProtectRemediador (XPR) es más proactivo y puede detectar y eliminar malware mediante análisis periódicos con reglas de Yara, entre otras. Estos ocurren en segundo plano durante períodos de baja actividad y tienen un impacto mínimo en la CPU.
3. La última versión de macOS incluye XProtectBehaviorService (XBS), que monitorea el comportamiento del sistema con respecto a los recursos críticos.

Desafortunadamente, Apple utiliza principalmente esquemas de nombres internos genéricos en XProtect que ocultan nombres de malware comunes. Si bien esto se hace por buenas razones, es difícil para quienes tienen curiosidad saber exactamente qué malware XProtect puede identificar.

Por ejemplo, algunas reglas de Yara reciben nombres más obvios, como XProtect_MACOS_PIRRIT_GEN, una firma para detectar el adware Pirrit. Sin embargo, en XProtect encontrará en gran medida reglas más genéricas como XProtect_MACOS_2fc5997 y firmas internas que sólo los ingenieros de Apple conocen, como XProtect_snowdrift. Aquí es donde a los investigadores de seguridad les gusta Phil Stokes Y alden Ingresar.

Phil Stokes de Sentinel One Labs dirige un repositorio en GitHub que asigna estas firmas ofuscadas utilizadas por Apple a nombres más comunes utilizados por los proveedores y que se encuentran en escáneres de malware públicos como VirusTotal. Además, Alden completó recientemente progreso significativo comprender cómo funciona XPR extrayendo reglas de Yara de los binarios de su módulo de análisis.

¿Cómo encuentro XProtect en mi Mac?

XProtect está habilitado de forma predeterminada en todas las versiones de macOS. También funciona a nivel del sistema, completamente en segundo plano, por lo que no es necesaria ninguna intervención. Las actualizaciones de XProtect también se realizan automáticamente. Aquí es donde se encuentra:

1. En Macintosh HD, ir a Biblioteca > Apple > Sistema > Biblioteca > CoreServices
2. Desde allí puede encontrar correcciones haciendo clic derecho en XProtect
3. Luego haga clic Mostrar contenido del paquete
4. Desarrollar Contenido
5. Abierto sistema operativo mac

Nota: Los usuarios no deben confiar exclusivamente en la suite XProtect de Apple, ya que está diseñada para detectar amenazas conocidas. Los ataques más avanzados o sofisticados podrían fácilmente eludir la detección. Dicho esto, recomiendo encarecidamente instalar una serie de herramientas de detección y eliminación de malware de terceros disponibles.

El malware que macOS puede eliminar por sí solo

Aunque la aplicación XProtect por sí sola no puede detectar ni bloquear amenazas, la eliminación se reduce a los módulos de escaneo de XPR. Actualmente, podemos identificar 23 de las 25 correcciones en la versión actual de XPR (v156) para evitar que el malware acceda a su computadora. Casi todos los módulos utilizan esquemas de nombres internos de Apple y no notifican al usuario cuando está ejecutando un análisis o realizando una reparación. Esto es lo que sabemos actualmente sobre cada uno:

1. Descargar : Adload y cargador de paquetes dirigido a usuarios de macOS desde 2017. Adload pudo evitar la detección antes de la última actualización importante de XProtect que agregó 74 nuevas reglas de detección de Yara, todas dirigidas al malware.
2. BadGacha: Aún oficialmente no identificado. Sin embargo, se ha ganado la reputación de generar falsos positivos, a menudo señalando aplicaciones de ayuda inofensivas que no son malware (como 1Password) como amenazas potenciales., de acuerdo a La sociedad de la luz ecléctica.
3. Azul superior: «BlueTop parece ser la campaña Trojan-Proxy que Kaspersky cubrió a finales de 2023» Dijo Alden..
4. Manojo: Un nuevo módulo, agregado en diciembre de 2024. El nombre de este módulo no está ofuscado. Bundlore es una familia de adware común dirigido a sistemas macOS. Muchos escáneres de malware de terceros pueden detectar paquetes y detenerlos allí en tiempo real. Esta no es una amenaza significativa.
5. CartónCorte: Este módulo funciona un poco diferente a los demás. En lugar de buscar un tipo particular de malware, CardboardCutout funciona creando un «corte» del malware con firmas conocidas y lo detiene antes de que tenga la oportunidad de ejecutarse en el sistema.
6. Ola de frío: «Es probable que ColdSnap esté buscando la versión macOS del malware SimpleTea. Esto también se ha relacionado con la infracción de 3CX y comparte características con las variantes de Linux y Windows». SimpleTea (SimplexTea en Linux) es un troyano de acceso remoto (RAT) que se cree que se originó en la RPDC.
7. Conductor: En realidad, este no es un escáner de malware. Conductor parece ser un módulo de infraestructura que gestiona la programación y el estado de otros componentes de remediación para garantizar que funcionen correctamente.
8. Crapirador: Crapyrator ha sido identificado como macOS.Bkdr.Activator. Se trata de una campaña de malware descubierta en febrero de 2024 que «infecta a los usuarios de macOS a gran escala, potencialmente con el objetivo de crear una botnet de macOS o distribuir otro malware a escala», dice Phil Stokes de Sentinel One.
9. DubRobber: Un cuentagotas de caballo de Troya inquietante y versátil, también conocido como XCSSET.
10. Éicar: A archivo inofensivo que está diseñado intencionalmente para activar escáneres antivirus sin ser peligroso.
11. Pinball De Disquete: Aún no identificado.
12. Genio: Un programa potencialmente no deseado (PUP) muy comúnmente documentado. Tanto es así que incluso tiene su propia página de Wikipedia.
13. Acre verde: GreenAcre ha sido identificado como OSX.Gimmick. Es un sofisticado software espía multiplataforma utilizado en ataques dirigidos que oculta su tráfico mediante servicios de nube pública como Google Drive para Comando y Control.
14. Robo de llaves: KeySteal es un ladrón de datos de macOS detectado inicialmente en 2021 y agregado a XProtect en febrero de 2023.
15. MRTv3: Es un conjunto de componentes de detección y eliminación de malware adquiridos en XProtect de su predecesor, Malware Removal Tool (MRT).
16. Pirita: Éste tampoco está disfrazado por alguna razón. Pirrit es un adware para macOS que apareció por primera vez en 2016. Es conocido por inyectar anuncios emergentes en páginas web, recopilar datos del navegador de usuarios privados e incluso manipular clasificaciones de búsqueda para redirigir a los usuarios a páginas maliciosas.
17. RangoStank: «Esta regla es una de las más obvias, porque incluye las rutas a los ejecutables maliciosos encontrados en el incidente 3CX», explica Alden. 3CX fue un ataque a la cadena de suministro atribuido al Grupo Lazarus.
18. Pino rojo: Con menos confianza, Alden dice que RedPine es probablemente una respuesta a la Operación Triangulación de TriangleDB, uno de los ataques a iPhone más sofisticados de todos los tiempos.
19. Vuelo de cucarachas: No está relacionado con las cucarachas voladoras y, lamentablemente, los investigadores aún no lo han identificado.
20. Intercambio de ovejas: Al igual que SheepSwap, se cree ampliamente que este módulo se dirige a otras variantes del paquete de publicidad Adload en constante evolución, según el La sociedad de la luz ecléctica.
21. MostrarBeagle: Esto apunta a TraderTraitor, una campaña vinculada al grupo Lazarus de Corea del Norte que ataca a los intercambios de criptomonedas y a los usuarios de DeFi con aplicaciones comerciales troyanizadas.
22. Ventisquero: Identificado como nubemensis Software espía para MacOS.
23. Juguetes que caen: Al igual que SheepSwap, se cree ampliamente que este módulo apunta a otras variantes del software publicitario Adload en constante evolución.
24. encontrar: Similar a Pirrit, encontrar es otro secuestrador de navegador multiplataforma. Se sabe que redirige los resultados de búsqueda, rastrea el historial de navegación e inyecta sus propios anuncios en la búsqueda.
25. Red de agua: Identificado como Proxit, un troyano proxy escrito en el lenguaje de programación Go que convierte las Mac infectadas en nodos proxy para enrutar el tráfico malicioso.

¡Gracias por leer! Si tiene algún consejo sobre algunos módulos que aún no se han identificado, déjelo en los comentarios o envíeme un correo electrónico a arin@9to5mac.com.

Folvidar: Gorjeo/X, LinkedIn, Temas